Как было дело: Аваст начал орать благим матом, что на флехе появился авторан, и все дела. Я давно не использую проводник для просмотра файлов, как-то привык к файловым манагерам. Лезу на флеху фаром, вижу авторан, атрибут скрытый (но мне до лампочки). Удаляю его, и он тут же создаётся заново. Заразился, понял я. Я был бы не я, если бы не придушил заразу. Аваст очень глючно пустился, провёл первичный тест, и дальше не пошёл (раньше открывалось окошко для широкого тестирования). Аваст ранее намекал, что поймал какую-то заразу, я удалял её и не обращал внимания. Но оказалось что вирус давно жил у меня. Просто прошёл период инкубации, и он перешёл к размножению. К слову сказать, если грохнуть процесс explorer, но оставить включённым фар, то можно без труда вычистить всю заразу.
Как выглядит на флешке: Если смотреть FARом, то будет скрытый файл autorun.inf, который не будет доступен для просмотра. Так же будут отключена возможность просмотра скрытых файлов и папок в проводнике (и её никак не включишь). Так же на флешке будет скрытая папка RECYCLER, в которой подпапка с исполняемым файлом. В моём случае это был CphF.exe. Попытки удалить это добро на заражённом компе не увенчаются успехом.
Лечение: оказалось простым и банальным. Инфицированную флешку я отложил, чтобы принести зверька домой. Грузанул винду в защищённом режиме. Отключил весь автозапуск (для тех кто в танке Пуск->Выполнить->msconfig->автозагрузка-
Итого: Мне выпала большая удача, что вирусня оказалась столь примитивной, но большая неудача, что антивирус оказался столь говённым. По моему можно сразу блокировать флешки содержащие autorun, ибо нормальный человек такого держать у себя не будет. Можно даже самому написать примитивный антивирь.
Что хотелось бы: Хотелось бы отключить авторан :). Сделаю это, кто в танке пусть воспользуются поиском у меня в ю-инфо, я писал о том как это сделать. Так же хотелось бы пустить вирусню так сказать в лабораторных условиях, чётко мониторя куда прописывается зараза, что делает и куда стучится. Но не знаю как это сделать, и не имею таковой возможности (винда на виртуалке не хочет цеплять ЮСБ из линуха :().
